Das GKE-Sicherheitsdashboard (Google Kubernetes Engine) bietet Ihnen zielgerichtete, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus Ihrer Cluster. Wenn Sie GKE Enterprise aktiviert haben, können Sie den Sicherheitsstatus als Flotten-Standardkonfiguration aktivieren. Auf dieser Seite erfahren Sie, wie Sie diese Flotten-Standardeinstellungen konfigurieren.
Sie können Standardeinstellungen auf Flottenebene für die folgenden Einstellungen für das Sicherheitsstatus-Dashboard erstellen:
- Scan des Kubernetes-Sicherheitsstatus
standard
-Stufe: Prüfen Sie die Cluster und Arbeitslasten in Ihrer Flotte auf häufige Probleme mit der Sicherheitskonfiguration. - Scannen von Arbeitslasten auf Sicherheitslücken, verfügbar in den folgenden Stufen:
- Scannen von Arbeitslastbetriebssystemen auf Sicherheitslücken (Stufe
standard
): Scannen Sie das Containerbetriebssystem auf bekannte Sicherheitslücken. - Erweiterte Informationen zu Sicherheitslücken (Stufe
enterprise
): Scannen Sie das Container-Betriebssystem und die Sprachpakete auf bekannte Sicherheitslücken.
- Scannen von Arbeitslastbetriebssystemen auf Sicherheitslücken (Stufe
Informationen zum Konfigurieren dieser Einstellungen für einzelne Cluster finden Sie in den folgenden Ressourcen:
- Arbeitslasten automatisch auf Konfigurationsprobleme prüfen
- Arbeitslasten automatisch auf bekannte Sicherheitslücken scannen
Standardeinstellungen auf Flottenebene konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie die Features des Sicherheitsstatus-Dashboards als Standardeinstellungen auf Flottenebene konfigurieren. Für alle neuen Cluster, die Sie während der Clustererstellung bei einer Flotte registrieren, sind die angegebenen Sicherheitsstatus aktiviert. Die von Ihnen konfigurierten Standardeinstellungen auf Flottenebene haben Vorrang vor allen Standardeinstellungen für den GKE-Sicherheitsstatus. Die Standardeinstellungen für Ihre GKE-Version finden Sie in der Tabelle der clusterspezifischen Features.
Führen Sie die folgenden Schritte aus, um Standardeinstellungen auf Flottenebene für den Sicherheitsstatus zu konfigurieren:
Console
Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.
Klicken Sie im Bereich Sicherheitsstatus auf Konfigurieren.
Einstellungen auf Flottenebene überprüfen. Alle neuen Cluster, die Sie bei der Flotte registrieren, übernehmen diese Einstellungen.
Optional: Klicken Sie zum Ändern der Standardeinstellungen auf Flotteneinstellungen anpassen. Führen Sie im angezeigten Dialogfeld Standardkonfiguration für Flotten anpassen die folgenden Schritte aus:
- Wählen Sie bei Konfigurationsprüfung aus, ob die Konfigurationsprüfung aktiviert oder deaktiviert werden soll.
- Wählen Sie unter Scannen auf Sicherheitslücken die gewünschte Stufe für Scannen auf Sicherheitslücken aus. Deaktiviert, Einfach oder Erweitert (empfohlen).
- Klicken Sie auf Speichern.
Wenn Sie die Konfiguration auf Flottenebene für diese Features deaktivieren, werden Ihre aktuellen Arbeitslasten in vorhandenen Mitgliedsclustern weiterhin gescannt und Sie können die Sicherheitsbedenken im Sicherheitsstatus-Dashboard sehen. Neue Cluster, die Sie in dieser Flotte erstellen, werden jedoch nur gescannt, wenn Sie die Sicherheitsstatus-Features für sie einzeln aktivieren.
Klicken Sie auf Konfigurieren, um die Einstellung auf neue Cluster anzuwenden.
Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen.
Optional: Synchronisieren Sie vorhandene Cluster mit den Standardeinstellungen.
- Wählen Sie in der Liste Cluster in der Flotte die Cluster aus, die Sie synchronisieren möchten.
- Klicken Sie auf Mit Flotteneinstellungen synchronisieren und im angezeigten Bestätigungsdialogfeld auf Bestätigen. Dies kann einige Minuten dauern.
gcloud
Sie benötigen die gcloud CLI-Version 455.0.0 oder höher.
Standardeinstellungen für eine neue Flotte konfigurieren
Sie können eine leere Flotte mit den Features des Sicherheitsstatus-Dashboards erstellen, die Sie aktivieren möchten.
Führen Sie den folgenden Befehl aus, um eine Flotte mit aktivierter Arbeitslastkonfigurationsprüfung zu erstellen:
gcloud container fleet create --security-posture standard
Führen Sie den folgenden Befehl aus, um eine Flotte mit aktiviertem Scannen auf Sicherheitslücken zu erstellen:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Ersetzen Sie
VULNERABILITY_SCANNING_TIER
durch einen der folgenden Werte:standard
: Container-Betriebssystem auf bekannte Sicherheitslücken scannen.enterprise
: Container-Betriebssystem und die Sprachpakete auf bekannte Sicherheitslücken scannen.
Standardeinstellungen für eine vorhandene Flotte konfigurieren
Führen Sie den folgenden Befehl aus, um die Prüfung der Arbeitslastkonfiguration für eine vorhandene Flotte zu aktivieren:
gcloud container fleet update --security-posture standard
Führen Sie den folgenden Befehl aus, um das Scannen von Arbeitslasten auf Sicherheitslücken in einer vorhandenen Flotte zu aktivieren:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Ersetzen Sie
VULNERABILITY_SCANNING_TIER
durch einen der folgenden Werte:standard
: Container-Betriebssystem auf bekannte Sicherheitslücken scannen.enterprise
: Container-Betriebssystem und die Sprachpakete auf bekannte Sicherheitslücken scannen.
So ändern Sie die Scanstufe für Arbeitslasten auf Sicherheitslücken in einer vorhandenen Flotte:
Prüfen Sie die vorhandenen Dashboard-Einstellungen für den Sicherheitsstatus in einer Flotte:
gcloud container fleet describe
Verwenden Sie den
update
-Befehl wie oben beschrieben mit der Stufe für das Scannen von Arbeitslasten, zu der Sie wechseln möchten:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sicherheitsstatus-Dashboard-Features auf Flottenebene deaktivieren
Führen Sie den folgenden Befehl aus, um die Prüfung der Arbeitslastkonfiguration zu deaktivieren:
gcloud container fleet update --security-posture disabled
Führen Sie den folgenden Befehl aus, um das Scannen von Arbeitslasten auf Sicherheitslücken zu deaktivieren:
gcloud container fleet update --workload-vulnerability-scanning disabled
Wenn Sie die Konfiguration auf Flottenebene für diese Features deaktivieren, werden Ihre aktuellen Arbeitslasten in vorhandenen Mitgliedsclustern weiterhin gescannt und Sie können die Sicherheitsbedenken im Sicherheitsstatus-Dashboard sehen. Neue Cluster, die Sie in dieser Flotte erstellen, werden jedoch nur gescannt, wenn Sie die Sicherheitsstatus-Features für sie einzeln aktivieren.
Nächste Schritte
- Weitere Informationen über die Reihe von Google Cloud-Features zum Sichern Ihrer Cluster und Arbeitslasten.
- Erfahren Sie, wie die Prüfung der Arbeitslastkonfiguration häufige Probleme mit der Sicherheitskonfiguration erkennt.
- Hier erfahren Sie, wie Sie mit dem Scannen auf Sicherheitslücken Ihre Container-Betriebssystem- und Anwendungssprachpakete auf Sicherheitsbedenken prüfen können.